紐菲斯的部落格

在做設定前，要先想一下，要使用 Routed 或 Bridged 的VPN。

有什麼差別呢?使用 Bridging 的好處有：

1.IP 的broadcast 可以通過VPN ，Windows 的NetBIOS 檔案系統，及網路芳鄰的瀏覽功能，可以正常運作。

2.不需去設定靜態的路由表，因為在同一個subnet 下運作。

3.在ethernet上的所有通訊協定，都可以運作，包含IPv4, IPv6, Netware IPX, AppleTalk…等。

4.對行動上網的使用者，相對來說，是比較簡單的方案….

Logo Ref Open VPN Project
前情提要：OpenVPN 建置筆記(第2集)

那使用Bridging有什麼缺點呢？
1. 效能會比 Routing 差，而且使用延展性也較差。

使用 Routing 的好處如下：
1. 效能及延展性比較好。

2. 可以使用變更MTU 的方式，進行網路效能的調整。

使用Routing 的缺點呢？
1. 如果要使用Windows 的網路芳鄰，必須搭配WINS Server 才可以使用。

2. 必須針對每一個子網設定靜態路由。

3. 軟體將無法看見在OpenVPN Server 上，其它的Subnet裏不同的機器。

4. 一般而言，在IPv4可正常運作，但IPv6，就要視不同的情況下(連接的2端都，明確的定義tun drivers)，才運作正常。

講完了兩者的的優缺點外，那兩者主要的差別在那裏呢？

兩者基本功能上差不多，但主要的差異在Bridging 可以pass IP 的broadcasts，但Routing 無法pass IP的broadcasts。當使用Bridging ，你一定要使用 –dev tap 在兩個連接的端點，如果使用Routing 的話，則可以使用–dev tap 及–dev tun 的方式，但兩個端點都必須使用一樣的方式。在Routing 的方式下，使用–dev tun 會有比較好的效能。

那決定要用什麼方式呢？一般來說routing 方式是比較好的選擇，效能比較好外，也比較好設定。而且在routing 下，可以對特定使用者有比較好的存取權限控制。

除非你有以下需求：
1. 連上VPN 後，要使用非IP protocols ，例如IPX

2. 你執行的程式軟體，必須使用到broadcasts，例如網路遊戲 AOE…

3. 你要用Windows 檔案分享，又不想設定WINS

講了一堆，小瑞在這個測試下，想要使用 Routing 的方式，來建置我的VPN 環境。

還有什麼要注意的呢？VPN 子網段的選用。

使用VPN 意謂著，你要把兩個不同地點的私人網段，連接在一起。

IANA 組織預留了3個網段給私有網路使用，分別如下：

在選用VPN 用的子網段時，要避免下列衝突：
1.連接的2個網段，擁有相同的子網段設定 (route , site to site 狀況下)
2.VPN Server 上使用私有子網段，與Client 端所使用的私有子網段相同 (p to p 狀況下)

舉個例子，當要把台北(192.168.0.0/24)及台中(192.168.0.0/24)分公司的兩個子網段(site by site)，連用VPN 連接起來，這時候VPN Server 就會搞不清楚，192.168.0.1 到底是在台北，還是台中，無法做Route 的動作。

另一個例子，你人在機場，想要使用VPN 連線回公司去讀取一份資料(p to p)。而機場的私有網段為192.168.0.0/24，而你在公司的VPN Server 使用的網段也是 192.168.0.0/24 ，那VPN Server 一樣無法分辦 192.168.0.1 指的是機場的gateway ，還是VPN Server 上的gateway。

最好的作法，就是避開10.0.0.0/24 或 192.168.0.0/24 這兩個網段。找一個機場，咖啡廳，旅館等..你可能常會去的場所。他們會較少使用的網段，例如這些網段的中間網段(10.66.77.0/24)。

而在做site to Site 的VPN 時，就必須為你的不同Site 好好的做子網段的規劃，以避免連接後的衝突。

按小瑞的設計構想，使用的OpenVPN 子網段是 10.8.0.0/24 ，接著要來設定CA 憑證給OpenVPN Server 及多個Client 做認證使用。 這個留到下一集再說，天黑了，再不收工，Sylvanas 又要拔我的插頭。

欲知後事，請聽下回分解！

OpenVPN 建置筆記(第4集)